Este sitio web puede utilizar algunas "cookies" para mejorar su experiencia de navegación. Por favor, antes de continuar en nuestro sitio web, le recomendamos que lea la política de cookies.

null
Economía

Y si no cumplo el reglamento de protección de datos... ¿qué me puede pasar?

La nueva legislación que entra en vigor el próximo 25 de mayo contempla sanciones de hasta 20 millones de euros para los infractores 

Rafael Servent

Whatsapp

El próximo 25 de mayo entra en vigor el Reglamento General de Protección de Datos (RGPD) para todos los estados miembros de la Unión Europea. Pimec, patronal catalana de micro, pequeñas y medianas empresas, cifra en un 75% de las pymes catalanas el porcentaje que todavía no han adoptado las medidas para cumplir con el nuevo reglamento.

De no mediar un giro del guión de última hora (organizaciones patronales y cámaras de comercio de media Europa ya han pedido una moratoria para ganar algo de tiempo y alargar los plazos de la entrada en vigor de este reglamento), el viernes 25 de mayo van a ser legión las pymes y los autónomos que lleguen a la fecha con los deberes sin hacer. Constatada y asumida la realidad (las pequeñas empresas y los autónomos apenas hace unos días que han puesto atención a lo que se les viene encima), la pregunta inmediata es clara: «Y si no cumplo con el nuevo reglamento de protección de datos... ¿qué me puede pasar?».

«Las sanciones del nuevo reglamento, que pueden llegar a números escandalosos, están pensadas para Google, Facebook... pero no para el autónomo» (Jordi Ortega, Abogado y director técnico de ATGroup)

La respuesta no es, sin embargo, tan clara. Primer titular: hasta 10 millones de euros (o un 2% de la facturación anual si es superior a esa cifra) para los incumplimientos leves y hasta 20 millones de euros (o un 4% de la facturación anual) para los graves.

Jordi Ortega, abogado y director técnico de ATGroup, estuvo el viernes 18 de mayo en la Cambra de Comerç de Tarragona, donde participó en una sesión del ciclo de jornadas ‘Bon dia Tarragona’ dedicada al nuevo reglamento. Sobre las sanciones de hasta 20 millones de euros previstas en este reglamento europeo, es claro: «Son sanciones pensadas para Google, para Facebook... no para el autónomo».

¿Y qué pasa con el autónomo? ¿De qué multas estamos hablando y por qué razones? A día de hoy, el importe de cada sanción va a depender del criterio de la Agencia Española de Protección de Datos (en el caso de que la sanción sea fruto de una inspección) o de la decisión de un juez (cuando la sanción derive de la denuncia de un particular).

Consentimiento expreso. El consentimiento expreso pasa a ser un derecho fundamental en el tratamiento de los datos personales. El reglamento exige que éste sea libre, informado, específico e inequívoco, y nunca se debe deducir del silencio o de la inacción de los usuarios. Además, debe ser revocable en todo momento.

«La cuestión es que el nuevo reglamento está alineado con una tradición muy anglosajona, abierta a la decisión del juez», explica Ortega. Una tradición bastante distinta a la que estamos acostumbrados en nuestra cultura, donde las sanciones suelen estar más detalladas. Esta amplitud de posibilidades de sanción que se abre con el nuevo reglamento es la que pretende acotar, entre otras cosas, la nueva legislación estatal española sobre la protección de datos mediante una tipificación más detallada (que responda a esa pregunta de «si hago A, cuánto me cae»), pero todavía en trámites y que no se prevé que entre en vigor antes de seis o siete meses.

«Todo el mundo está esperando -explica Jordi Ortega- cómo bajaremos al suelo este reglamento, y la ley estatal actualmente en trámite es un componente muy importante para eso». Pero, mientras llega la ley, el reglamento europeo va a aplicarse con todas sus consecuencias, y eso incluye, en palabras de Ortega, «sanciones que pueden llegar a números escandalosos».

Agencias de Protección de Datos. Salvo en el caso de los ficheros públicos, cuya supervisión corresponde a la Agència Catalana de Protecció de Dades, las bases de datos de la inmensa mayoría de las pymes están bajo la supervisión de la Agencia Española de Protección de Datos. Las posibilidades de que llegue una inspección (y una sanción) de esta agencia, salvo que medie una denuncia, son escasas dada su falta de recursos.

Esta indefinición e imprecisión acerca de cuánto de escandalosos pueden llegar a ser esos números (hasta 20 millones de euros, las posibilidades son casi infinitas) es lo que definitivamente acabará con ciertas prácticas que se habían convertido en algo habitual en determinados entornos empresariales. Lo explica Estrella Rincón, directora del departamento jurídico de la patronal Pimec: «Comprar bases de datos es algo que ya no se podía hacer, pero como las sanciones no eran tan elevadas como ahora, había empresas que preferían pagar la sanción. Había un mercado de bases de datos o de consentimientos por omisión que ahora desaparece».

Como mínimo, hasta que entre en vigor la nueva legislación española. Que, si tipifica unas sanciones mucho menos duras, que encajen con los cálculos de coste-beneficio que aplican esos perfiles que se saltan la ley, podría volver a activar un mercado negro de bases de datos que todos los profesionales del sector coinciden en denunciar. ¿Hecha la ley, hecha la trampa? Está por ver.

Juzgados. El nuevo Reglamento General de Protección de Datos (RGPD) contempla la posibilidad de que un afectado por la captación y el uso de datos personales de forma ilegítima acuda directamente a un juzgado (hasta ahora el único lugar eran las agencias de protección de datos) para reclamar una indemnización a la empresa infractora, que podría alcanzar cifras muy elevadas.

Mientras tanto, hay medio año en el que sin duda no habrá trampa posible. Quien más, quien menos, las pymes y autónomos ya conocen lo básico del nuevo reglamento, que se resume en un concepto: consentimiento expreso. Si un individuo recibe una newsletter en su correo electrónico, previamente tiene que haberse suscrito a ella de forma activa, recibiendo una información detallada e inequívoca sobre el uso que se hará de sus datos. Tan fácil como suscribirse a la newsletter para recibir esa newsletter, y nada más.

Hasta ahora, valía el consentimiento por omisión o tácito («si usted no quiere seguir recibiendo correos como éste, pinche en este enlace y dese de baja»). Ya no. Aunque estén en la base de datos de la newsletter que llevamos años mandando, todos y cada uno de esos destinatarios (en el caso de que los hayamos incluido nosotros mediante un consentimiento tácito) tienen que darse de alta activamente en nuestra newsletter. No son pocos los responsables de marketing de pymes que han visto cómo se abre ante ellos la perspectiva de perder el grueso de los destinatarios de sus bases de datos de email marketing. Porque... ¿cuántos van a leer el correo que les manemos y se van a volver a suscribir?

«Comprar bases de datos es algo que no se podía hacer, pero al no ser las sanciones tan elevadas como ahora, había empresas que preferían pagar la sanción» (Estrella Rincón, Directora del departamento jurídico de Pimec)

La tentación está ahí: seguir mandando los correos y a ver qué pasa. Sin saber que lo que puede pasar ahora es que alguno de los destinatarios del correo se lo tome mal y vaya directo a un juez a pedir una indemnización. Ésa es una de las novedades destacadas de este reglamento. Antes que una inspección (con una Agencia Española de Protección de Datos con pocos recursos para ello), lo que puede llegar es la denuncia de un particular. O de un competidor.

«¿Quién te dice a ti -avanza el abogado Jordi Ortega- que tu competencia no te ponga una denuncia porque has tratado mal los datos y te pida una indemnización? Por no hablar de que cualquier turista que aparezca en la web de un hotel puede denunciar a ese hotel desde su casa, en su propio país, exigiendo una indemnización». Si no se anda con ojo, las falsas gastroenteritis de los turistas británicos podrían ser sólo un aperitivo.

Acerca del autor

Whatsapp

Temas

Comentarios